Zurück zur Startseite
Netzwelt
Zurück zur Startseite
Netzwelt

Codes und Pässe: Wie sicher sind biometrische Daten? | BR24

© BR

Fingerabdruck, Auge, Stimme, Gesicht: Viele nutzen ihre biometrischen Merkmale als Zugangscodes. Vorteil: Diese Daten sind einmalig. Nachteil: Werden sie geklaut, sind sie für immer verloren.

3
Per Mail sharen
Teilen
  • Artikel mit Audio-Inhalten

Codes und Pässe: Wie sicher sind biometrische Daten?

Fingerabdruck, Auge, Stimme, Gesicht: Viele nutzen ihre biometrischen Merkmale als Zugangscodes. Vorteil: Diese Daten sind einmalig. Nachteil: Werden sie geklaut, sind sie für immer verloren.

3
Per Mail sharen
Teilen

Moderne Handys haben oft einen Fingerabdrucksensor, um das Gerät freizuschalten. Manche Smartphones arbeiten sogar mit Gesichtserkennung und Iris-Scan. Mit dem Fingerabdruck lassen sich auch Haustüren öffnen und Überweisungen freigeben.

Gunnar Porada ist ein renommierter IT-Sicherheitsexperte, der Unternehmen und Regierungen berät. Er warnt ausdrücklich: "Die Verwendung von biometrischen Daten in Computersystemen ist unsicher und angreifbar."

Fingerabdruck als Code ist praktisch und gefährlich zugleich

Wo Computersysteme biometrische Daten speichern und wie sicher das dann ist, wissen die Nutzer meist nicht. Die digitale Hinterlegung eines Merkmals erfolgt mal verschlüsselt, mal unverschlüsselt, mal auf dem genutzten Gerät, mal in einer App oder in der Daten Cloud. Ein immenses Risiko.

"Natürlich ist es angenehm, dass man mit einem Fingerabdruck die Geräte öffnen kann. Das funktioniert so lange gut, bis es missbraucht wird. Wenn der Schaden eintritt, dann ist es schon zu spät." Gunnar Porada, Sicherheitsexperte

Hacker haben es auf biometrische Daten abgesehen

Längst haben Cyber Gangster biometrische Merkmale im Visier. Im Dark Web, dem dunklen Teil des Internets, werden sie gehandelt, beobachtet Swen Weiland von der Cyber Task Force der Polizei Göttingen.

"Es reicht, wenn der Täter dann eine geeignete Reproduktionsmöglichkeit hat für dieses biometrische Merkmal. Wir haben das schon öfter für Fingerabdrücke gesehen. Aber auch in letzter Zeit 3-D gedruckte Gesichter, um Apple Face ID zu täuschen." Swen Weiland, Cyber Task Force Polizei Göttingen

Kann man biometrische Merkmale reproduzieren, also nachahmen? Können Profis so die neuen Systeme überlisten?

Kontaktlinse und Foto überlisten Sicherheitssysteme

Um das herauszufinden haben wir uns mit dem Informatiker und Wissenschaftler Jan Krissler, europaweit bekannt als Aktivist des Chaos Computer Clubs Berlin und Hacker "Starbug" verabredet. Aus Protest gegen die Einführung biometrischer Pässe in Deutschland hatte er vor vielen Jahren die Fingerabdrücke des damaligen Innenministers Wolfgang Schäuble von einem Glas reproduziert und veröffentlicht.

Kann Starbug auch das angeblich sichere Anmeldesysteme mit der Augen-Iris überlisten?

Wir machen ein Foto von Starbugs Iris. Die digitale Aufnahme lädt er in seinen Computer und rechnet sie auf die Lebend-Größe seiner Iris, druckt dann das Foto aus. Wir haben einfache Kontaktlinsen aus dem Drogeriemarkt mitgebracht. Die kommen auf das Papier mit dem Irisaufdruck. Damit soll die Iris-Attrappe echter wirken. Und tatsächlich, es funktioniert, das Handy lässt sich mit der Attrappe öffnen.

Ein Stück Papier mit einer Kontaktlinse überlistet eine moderne Sicherheitseinstellung.

Biometrische Pässe sind nicht sicher vor Fälschung

Und Starbug zeigt uns noch einen Angriff auf ein biometrisches Gerät: Mit einer simplen Fingerkuppen Attrappe aus Holzleim hackt er den biometrischen Fingerabdruck Scanner, der an Passkontrollen an den Außengrenzen der Europäische Union eingesetzt wird. Das ist ein gigantisches Sicherheitsrisiko.

Denn auch Terroristen nutzen Fingerabdruckattrappen. Das fliegt bei einer Razzia der türkischen Polizei vor knapp einem Jahr auf. Videos der Durchsuchung in der ost-türkischen Stadt Kırşehir zeigen, wie türkische Beamte zehn Mitglieder des IS verhaften. Neben Bargeld und Ausweispapieren finden die Beamten Fingerabdruckformen und Attrappen. Die Dschihadisten hatten sie für Geldtransfers genutzt, ergaben die Ermittlungen.

Datenbanken im Visier von Cyber-Kriminellen

Wie kommen Hacker und Terroristen an fremde biometrische Identitäten? Einzelne Hacks sind kompliziert und aufwendig. Deshalb nehmen Kriminelle Datenbanken ins Visier, auf denen eine Vielzahl von Fingerabdrücken oder Gesichtern digital gespeichert sind. Und das hält Starbug noch für viel gefährlicher, als das Ausspähen der Merkmale Einzelner.

"In den Datenbanken sind Tausende oder Hunderttausende biometrischer Merkmale schon vorhanden und auch in einer hohen Qualität. Das heißt, man kann sie direkt so nehmen." Starbug, Hacker

Für die Opfer von Identitätsdiebstahl hat das dramatische Folgen

"Wenn Ihre Daten einmal missbraucht wurden, werden Sie sie Ihr Leben lang nicht mehr benutzen können." Gunnar Porada, IT-Sicherheitsexperte

Denn: Ein gestohlenes herkömmliches Passwort aus Buchstaben und Zahlen können wir Nutzer jederzeit ändern. Den geklauten Fingerabdruck, das Gesicht, die Iris nicht.

Gefälschte Pässe mit biometrischen Daten in der EU

Die biometrischen Pässe der Europäischen Union sind fälschungssicher, sagen die Behörden. Doch erste Unregelmäßigkeiten fallen auf, erklärt die europäische Grenzagentur Frontex auf Anfrage des Bayerischen Rundfunks, Zitat: "Da waren einige Fälle von gefälschten Pässen mit einem manipulierten Chip in der EU und im Schengen Raum." Die gefälschten Reisedokumente wurden von 12 Aussteller-Ländern gemeldet, darunter: Frankreich, Italien, Großbritannien.